Resumo
- O Universe Browser direciona tráfego para servidores na China, instala programas sem consentimento e monitora teclados. Ele tem ligações com crimes cibernéticos no Sudeste Asiático, incluindo lavagem de dinheiro e tráfico humano.
- O navegador imita o Google Chrome, mas bloqueia ferramentas de desenvolvedor. Ele instala programas persistentes e extensões para enviar capturas de tela a criminosos e detectar sites de jogos de azar ligados ao grupo Vault Viper.
- O Vault Viper usa o navegador para identificar jogadores ricos e acessar suas máquinas. Ele está associado a “fábricas de golpes” no Sudeste Asiático, recrutando pessoas de mais de 60 países para extorsão em jogos de azar.
Pesquisadores de cibersegurança descobriram que o navegador Universe Browser direciona o tráfego de internet para servidores na China, instala programas sem conhecimento do usuário, monitora o teclado e altera as conexões do dispositivo. Ironicamente, o programa se apresenta como capaz de “evitar vazamentos de privacidade” e manter os usuários “longe do perigo”.
Os achados são da empresa de segurança de redes Infoblox, que trabalhou com o Escritório das Nações Unidas sobre Drogas e Crime (UNODC, na sigla em inglês) nessa tarefa. A investigação também encontrou ligações com uma rede de crimes cibernéticos do Sudeste Asiático, que envolve lavagem de dinheiro, jogos de azar ilegais, tráfico humano e trabalhos forçados.
O que o Universe Browser faz no seu computador?
O navegador tem versões para Windows e Android, distribuídas por download direto, além de estar disponível para iOS na App Store da Apple.
Usando engenharia reversa na versão do Universe Browser para Windows, os pesquisadores encontraram diversas ferramentas similares às presentes em malware, além de técnicas para fugir da detecção de antivírus.
Um desses comportamentos é obter imediatamente a localização do usuário, idioma usado e se o programa está rodando em uma máquina virtual. Depois disso, ele espera algum tempo antes de se conectar a endereços de IP na China, em Hong Kong e em Taiwan. Esses endereços são ligados ao grupo criminoso por trás do navegador, conhecido como Vault Viper.
O browser imita o Google Chrome, mas ferramentas de desenvolvedor e configurações ficam inacessíveis para o usuário — nem mesmo o clique com o botão direito do mouse funciona.
O Universe Browser também instala vários programas persistentes que rodam silenciosamente em segundo plano. Além disso, duas extensões acompanham o pacote. Uma serve para enviar prints para um domínio ligado aos criminosos. A outra, de acordo com a análise da Infoblox, serve para detectar se o usuário está navegando em algum site de jogos de azar ligado ao Vault Viper.
O que os criminosos pretendem com o navegador?
A Infoblox observou que o Universe Browser é anunciado em sites ligados a uma mesma empresa desenvolvedora de jogos para cassinos online, que estaria ligada ao grupo Vault Viper.
O atrativo usado é a capacidade de driblar restrições impostas por países asiáticos a jogos de azar pela internet. “Cada site de cassino operado [pelo grupo] tem um link e uma propaganda [para o Universe Browser]”, diz Maël Le Touz, da Infoblox, em entrevista à Wired.
Os pesquisadores acreditam que esses sejam os alvos dos agentes maliciosos. “Este navegador poderia servir como uma ferramenta perfeita para identificar jogadores ricos e obter acesso a suas máquinas”, diz o relatório da companhia.
Ao longo dos últimos anos, o Vault Viper também esteve relacionado com grupos criminosos que recrutaram centenas de milhares de pessoas de mais de 60 países, forçando-as a trabalhar em “fábricas de golpes” no Sudeste Asiático, em países como Mianmar, Laos e Camboja. Parte desses golpes consiste justamente em atrair interessados em jogos de azar para extorquir dinheiro deles.
Com informações da Wired
Navegador promete privacidade, mas age como espião a serviço de criminosos
